sudo 是Linux下常用的允许普通用户使用超级用户权限的工具,允许系统管理员让普通用户执行一些或者全部的root命令。这样不仅减少了root用户的登陆次数和管理时间,同样也提高了安全性。因为如果普通用户要执行root才能执行的命令的时候、就必须切换到root用户、这样他必须要知道root用户的密码、这样也就意味着要对每一个这样的用户下放root的密码,这样很不安全。
sudo设计者的宗旨:
给用户尽可能少的权限但仍允许完成他们的工作。
sudo的特点:
# 1. sudo能够限制指定用户在指定主机上运行某些命令。
# 2. sudo可以提供日志,忠实地记录每个用户使用sudo做了些什么,并且能将日志传到中心主机或者日志服务器。
# 3. sudo为系统管理员提供配置文件,允许系统管理员集中地管理用户的使用权限和使用的主机。它默认的存放位置是/etc/sudoers。
# 4.sudo使用时间戳文件来完成类似“检票”的系统。当用户执行sudo并且输入密码后,用户获得了一张默认存活期为5分钟的“入场券”(默认值可以在编译的时候改变)。超时以后,用户必须重新输入密码。
sudo的用户权限配置:
a) /etc/sudoers文件:
默认的配置用户操作sudo命令权限的文件、也就是说可以在这个文件中通过配置来制定用户是否具有sudo权限、和哪些命令可以使用sudo权限。如果要通过编辑这个文件来实现用户的sudo赋权操作必须使用命令:visudo 来修改sudoers文件。
b) /etc/sudoers.d文件夹:
通过cat /etc/sudoers查看sudoers文件内容,你会发现有一行说明:最好不要修改此文件、通过操作sudoers.d文件夹来实现普通用户的sudo命令赋权过程。
步骤如下:
1) 在/etc/sudoers.d 文件夹下新建一个文件,名称无所谓,如:lyjsudo
vim /etc/sudoers.d/lyjsudo
2) 编辑lyjsudo文件:添加 lyjsudo ALL=(ALL) ALL
i
lyjsudo ALL=(ALL) ALL
3) 保存并退出
Esc:wq
4) 将文件lyjsudo权限修改为400
chmod 400/etc/sudoers.d/lyjsudo
5) 再用lyjsudo账户登录,执行sudo命令来验证是否生效
su lyjsudo
sudo ls –al
如果能正常使用,则表示修改成功。
原文永久地址: http://jsonliangyoujun.iteye.com/blog/2355226